(T) Teoria kontrolera WLC*

Podstawowe zasady funkcjonowania kontrolera WLC

Porty, interfejsy kontrolera WLC

  • Porty (Ports) – W nomenklaturze kontrolerów WLC, odnoszą się do portów fizycznych.
    • Service port – Wykorzystywany do zarządzania kontrolerem WLC, poza zwykłym ruchem sieciowym (Out-of-band Management). Zawsze podłączony do przełącznika poprzez interfejs dostępowy (Access mode).
    • Distribution port – Wykorzystywany do przenoszenia zarówno zwykłego ruchu sieciowego jak i ruchu kontrolnego (Management), pomiędzy punktami dostępowymi (LAP) a kontrolerem WLC (Zazwyczaj podłączony do przełącznika poprzez interfejs Trunk-owy, niekapslowany za pomocą protokołu 802.1Q).
    • Console port – Wykorzystywany do zarządzania kontrolerem WLC, poza zwykłym ruchem sieciowym (Out-of-band Management).
    • Redundancy port – Wykorzystywany do zapewnienia nadmiarowości (High-Availability) pomiędzy dwoma niezależnymi, fizycznymi kontrolerami WLC.
  • Interfejsy (Interfaces) – W nomenklaturze kontrolerów WLC, odnoszą się do interfejsów logicznych, umożliwiających skonfigurowanie podstawowych ustawień sieciowych, takich jak adres IP z maską, bramę domyślną oraz adres zaufanego serwera DHCP.
    • Management interface – Domyślny interfejs zarządzalny (Management interface), umożliwia komunikację z serwerem uwierzytelniającym (Np. radius), wysyłanie logów systemowych Syslog, komunikację z serwerem NTP, wymianę danych pomiędzy wieloma kontrolerami WLC czy zdalne zarządzanie lokalnym kontrolerem (Poprzez protokół SSH bądź też SNMP). Ponadto w przypadku nie skonfigurowania interfejsu AP-manager, obsługuje ruch CAPWAP pomiędzy kontrolerem WLAN a punktami dostępowymi AP.
    • AP-manager interface – Dynamiczny interfejs stanowiący zakończenie tuneli CAPWAP, pomiędzy kontrolerem WLC a punktami dostępowymi (LAP). W przypadku nie skonfigurowania interfejsu, jego rolę przejmie interfejs (Management interface).
    • Virtual interface – Adres IP wykorzystywany w relacji klientów bezprzewodowych z zaufanym serwerem DHCP, serwerem uwierzytelniającym jak i wspierającym funkcję mobility.
    • Service port interface – Interfejs przypisany do fizycznego portu serwisowego (Service port Management), poza zwykłym ruchem sieciowym (Out-of-band Management).
    • Dynamic interface – Łączy sieci bezprzewodowe WLAN (SSID), z odpowiadającymi im sieciami wirtualnymi VLAN. Musi posiadać odpowiednio skonfigurowany adres IP z maską, bramę domyślną
Wielu administratorów przypisuje do interfejsu wirtualnego (Virtual interface), adres IP 1.1.1.1. Zaleca się jednak stosowanie adresów prywatnych zdefiniowanych w referencji RFC 1918 referencji RFC czy 5737 (192.0.2.0/24).

Distribution port

  • Porty dystrybucyjne (Distribution ports) umożliwiają komunikację pomiędzy kontrolerem WLC a punktami dostępowymi (LAP), za pomocą połączeń tunelowanych CAPWAP.
  • W większości przypadków fizyczne kontrolery WLC, dysponują wieloma portami dystrybucyjnymi (Distribution ports), skonfigurowanymi w trybie trunk (802.1Q). Związku z czym administrator powinien skonfigurować analogiczne ustawienia na przełączniku sieciowym. Ponadto zaleca się zastosowanie Agregacji łączy za pomocą protokołów LAG.

Budowa nadmiarowości WLC

  • N+1 (N:1) – Do N liczby aktywnych kontrolerów WLC, dodajemy jeden kontroler zapasowy (Przykładowe użycie: 2 kontrolery aktywne + jeden zapasowy).
  • N+N (1:1) – Do N liczby aktywnych kontrolerów WLC, dodajemy N kontrolerów zapasowych. Metoda ta dopuszcza również możliwość równoważenia dostępnych punktów dostępowych (LAP) pomiędzy wszystkimi kontrolerami, tak aby ich zajętość nie przekraczała 50% (Przykładowe użycie: 2 kontrolery aktywne + dwa kontrolery zapasowe / 4 kontrolery wykorzystywane maksymalnie do 50% pojemności LAP).
  • N+N+1 – Do N liczby aktywnych kontrolerów WLC, dodajemy N+1 kontrolerów zapasowych.
  • SSO – Powyższe metody w przypadku awarii jednego z kontrolerów WLC, wymagały aby wszystkie podłączone do niego punkty dostępowe (LAP), ponownie nawiązały połączenie CAPWAP z innym kontrolerem, co z oczywistych powodów zajmowało cenny czas. Aby rozwiązać ten problem od wersji 7.5 kontrolery WLC mogą być ze sobą sparowane za pomocą funkcji SSO, dzięki czemu zyskują możliwość automatycznego przerzucenia punktów dostępowych (LAP) z uszkodzonego aktywnego (Active) do pasywnego (Standby) kontrolera WLC. Ponadto nie wymagają kompletu licencji na obydwóch urządzeniach. Funkcja SSO umożliwia wykrycie awarii drugiego kontrolera WLC w czasie 500 milisekund w przypadku awarii urządzenia czy zasilania bądź 4 sekund w przypadku awarii sieci (Wiadomości Keepalive są wysyłane w odstępach co 100 milisekund).
Wszystkie powyższe metody poza funkcją SSO, wymagają aby zapasowy kontroler posiadał odpowiednią ilość licencji, umożliwiającą mu obsłużenie wszystkich punktów dostępowych (LAP), które dołączą do niego po awarii.

Wykrywanie punktów dostępowych LAP przez kontroler WLC

  • Punkty dostępowe (LAP) został zaprojektowane zgodnie z zasadą „Touch Free”, dzięki czemu jedyna konfiguracja niezbędna do ich aktywowania, musi być wykonana po stronie przełącznika dostępowego.
  • Proces aktywacji punktu dostępowego (LAP) jest nazwany „State Machine”, i wygląda następująco:
    1. AP boots – Po otrzymaniu zasilania punkt dostępowy (LAP), uruchamia podstawowy system operacyjny Cisco IOS umożliwiający pobranie adresu IP za pomocą protokołu DHCP, bądź jego statyczną konfigurację.
    2. WLC discovery – Punkt dostępowy (LAP) postępuje zgodnie z ustalonymi regułami w celu zlokalizowania dostępnych kontrolerów WLC. Dzięki czemu możliwe staje się stworzenie listy dostępnych kontrolerów WLC.
      1. Broadcast on the local subnet – Punkt dostępowy (LAP) rozgłasza poprzez wiadomość rozgłoszeni-ową (Broadcast), zapytanie CAPWAP Discovery Request (Link do konfiguracji funkcji Helper względem kontrolerów WLC).
      2. Use locally stored WLC address – Punkt dostępowy (LAP) przetrzymuje w pamięci nie ulotnej informacje o trzech ostatnio używanych kontrolerach WLC. Proces ich pozyskiwania zwany jest „Primed”.
      3. Use DHCP – Punkt dostępowy (LAP) wykorzystuje opcję 43 oferowaną przez protokół DHCP, w celu pozyskania do trzech adresów IP kontrolerów WLC (Więcej informacji na temat opcji 43 jest dostępnych w artykule Opcja 43).
      4. Use DNS – Punkt dostępowy (LAP) spróbuje rozwiązać nazwę domenową CISO-CAPWAP-CONTROLER.lokalna-domena za pomocą serwera DNS. W celu pozyskania adresu IP kontrolera WLC.
      5. Reset and try again – Punkt dostępowy (LAP) zresetuje się, a następnie ponowi próbę pozyskania adresu IP kontrolera WLC.
    3. CAPWAP tunnel – Punkt dostępowy (LAP) próbuje nawiązać połączenie CAPWAP z wykrytymi kontrolerami WLC, za pomocą bezpiecznego połączenia DTLS (Datagram Transport Layer Security), przy wykorzystaniu certyfikatów cyfrowych.
      1. Punkt dostępowy (LAP) wysyła zapytanie (CAPWAP Discovery Request).
      2. Kontroler WLC odsyła odpowiedź (CAPWAP Discovery Reply), zawierającą następujące informacje: Nazwę, adres IP interfejsu AP-manager, liczbę obecnie obsługiwanych punktów dostępowych (LAP) oraz maksymalną liczbę obsługiwanych punktów dostępowych (LAP).
    4. WLC join – Punkt dostępowy (LAP) postępuje zgodnie z ustalonymi regułami w celu wybrania jednego kontrolera WLC, do którego wyśle wiadomość CAPWAP Join Request.
      1. Try primed address – Jeżeli punkt dostępowy (LAP) był wcześniej podłączony do kontrolera WLC, spróbuje ponownie nawiązać z nimi połączenie.
      2. Try the master controller – Jeżeli punkt dostępowy (LAP) nie był wcześniej podłączony do żadnego kontrolera WLC, rozgłosi wiadomość rozgłoszeni-ową (Broadcast) w celu wykrycia kontrolera w sieci lokalnej.
      3. Try the least-loaded controller – Punkt dostępowy (LAP) próbuje nawiązać połączenia z najmniej obciążonym kontrolerem WLC.
    5. Download image – Kontroler WLC informuje punkt dostępowy (LAP) o swojej wersji systemu operacyjnego, jeżeli punkt LAP posiada inną wersję systemu, niż ta którą posiada kontroler WLC, pobierze i zainstaluje odpowiedni obraz pobrany z kontrolera WLC.
    6. Download config – Punkt dostępowy (LAP) pobiera bieżącą konfiguracje z kontrolera WLC.
    7. Run state – Punkt dostępowy (LAP) przechodzi do trybu aktywnego „Run”.
    8. Reset – Jeżeli kontroler WLC wyśle nakaz restartu, punkt dostępowy (LAP) przerwie tunel CAPWAP, porzuci wszystkich klientów a następnie zresetuje się.
Wszystkie kontrolery WLC do których przypisane są te same punkty dostępowe (LAP), powinny posiadać tą samą wersję systemu operacyjnego. W przeciwnym razie, po każdorazowej utrzecie połączenia punktu LAP z kontrolerem, punkt dostępowy przełączy się na inny kontroler WLC a następnie rozpocznie proces reinstalacji obrazu.
Kontroler WLC może odpowiedzieć na prośbę o dołączenie Join, wiadomością Get Rejected. W sytuacji w której liczba obsługiwanych punktów dostępowych (LAP) osiągnęła swój maksymalny poziom. Aby zapobiec takiej sytuacji każdemu punktowi LAP można przypisać priorytet.
Punkt dostępowy (LAP) może wykryć do trzech kontrolerów WLC, jednak tylko z jednym nawiąże połączenie CAPWAP.

Sprawdzanie dostępność (Keepalive)

  • Domyślnie co 30 sekund punkt dostępowy (LAP) wysyła do kontrolera WLC wiadomość Keepalive zwaną również Heartbeat. Jeżeli nie otrzyma na nią odpowiedzi wyśle kolejne cztery wiadomości eskalacyjne w odstępach co 3 sekundy. W przypadku ponownego nie otrzymania odpowiedzi, punkt dostępowy (LAP) spróbuje nawiązać połączenie z innym kontrolerem WLC z listy.
  • Domyślne odstępy czasowe w nadawaniu wiadomości Keepalive, umożliwiają wykrycie awarii w ciągu 35 sekund. Istnieje jednak możliwość zmiany domyślnych wartości Keepalive w zakresie od 1 do 30 sekund oraz odstępów eskalacji od 1 do 10 sekund, co umożliwi wykrycie awarii w zaledwie 6 sekund.

Pozostałe tematy związane z sieciami bezprzewodowymi

Kontroler WLC

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz